Ce este TLS; Cum funcționează ISOC Internet Society

Transport Layer Security (TLS) criptează datele trimise prin Internet pentru a se asigura că ascultătorii și hackerii nu pot vedea ceea ce transmiteți, ceea ce este deosebit de util pentru informații private și sensibile, cum ar fi parolele, numerele cardurilor de credit și corespondența personală. Această pagină explică ce este TLS, cum funcționează și de ce ar trebui să-l implementați.

internet

Ce este TLS?

TLS este un protocol criptografic care oferă securitate de la un capăt la altul a datelor trimise între aplicații prin Internet. Este cunoscut în mare parte utilizatorilor prin utilizarea sa în navigarea web securizată și, în special, pictograma lacăt care apare în browserele web atunci când este stabilită o sesiune sigură. Cu toate acestea, acesta poate și într-adevăr ar trebui să fie folosit și pentru alte aplicații, cum ar fi e-mail, transferuri de fișiere, video/audioconferințe, mesagerie instantanee și voce peste IP, precum și servicii de internet precum DNS și NTP.

TLS a evoluat din Secure Socket Layers (SSL), care a fost inițial dezvoltat de Netscape Communications Corporation în 1994 pentru securizarea sesiunilor web. SSL 1.0 nu a fost niciodată lansat public, în timp ce SSL 2.0 a fost rapid înlocuit de SSL 3.0 pe care se bazează TLS.

TLS a fost specificat pentru prima dată în RFC 2246 în 1999 ca aplicații de protocol independente și, deși nu a fost direct interoperabil cu SSL 3.0, a oferit un mod de rezervă dacă este necesar. Cu toate acestea, SSL 3.0 este acum considerat nesigur și a fost depreciat de RFC 7568 în iunie 2015, cu recomandarea ca TLS 1.2 să fie utilizat. TLS 1.3 este, de asemenea, în curs de dezvoltare (începând cu decembrie 2015) și va renunța la suport pentru algoritmi mai puțin siguri.

Trebuie remarcat faptul că TLS nu securizează datele pe sistemele finale. Pur și simplu asigură livrarea sigură a datelor pe Internet, evitând posibilele ascultări și/sau modificări ale conținutului.

TLS este implementat în mod normal pe partea de sus a TCP pentru a cripta protocoalele Application Layer, cum ar fi HTTP, FTP, SMTP și IMAP, deși poate fi implementat și pe UDP, DCCP și SCTP (de exemplu, pentru utilizări de aplicații bazate pe VPN și SIP) . Aceasta este cunoscută sub numele de Datagram Transport Layer Security (DTLS) și este specificată în RFC-urile 6347, 5238 și 6083.

De ce ar trebui să-mi pese de TLS?

Datele au fost transmise în mod istoric necriptate pe Internet, iar acolo unde a fost utilizată criptarea, acestea au fost utilizate în mod fragmentar pentru informații sensibile, cum ar fi parolele sau detaliile de plată. În timp ce în 1996 (prin RFC 1984) s-a recunoscut că creșterea internetului ar necesita protejarea datelor private, a devenit din ce în ce mai evident în perioada intermediară că capacitățile ascultătorilor și ale atacatorilor sunt mai mari și mai răspândite decât se credea anterior . Prin urmare, IAB a lansat o declarație în noiembrie 2014 prin care a solicitat proiectanților, dezvoltatorilor și operatorilor de protocol să facă criptarea normă pentru traficul pe Internet, ceea ce înseamnă, în esență, confidențialitatea acestuia în mod implicit.

Fără TLS, informațiile sensibile, cum ar fi datele de conectare, detaliile cardului de credit și detaliile personale pot fi ușor culese de alții, dar și obiceiurile de navigare, corespondența prin e-mail, chat-urile online și apelurile de conferință pot fi monitorizate. Permițând aplicațiilor client și server să accepte TLS, se asigură că datele transmise între ele sunt criptate cu algoritmi siguri și nu pot fi vizualizate de terți.

Versiunile recente ale tuturor browserelor web importante acceptă în prezent TLS și este din ce în ce mai frecvent ca serverele web să accepte TLS în mod implicit. Cu toate acestea, utilizarea TLS pentru e-mail și anumite alte aplicații nu este încă adesea obligatorie și, spre deosebire de browserele web care oferă indicii vizuale, nu este întotdeauna evident pentru utilizatori dacă conexiunile lor sunt criptate.

Prin urmare, se recomandă ca toți clienții și serverele să insiste asupra utilizării obligatorii a TLS în comunicațiile lor și, de preferință, cea mai recentă versiune a TLS 1.2. Pentru o securitate completă, este necesar să o utilizați împreună cu o infrastructură de cheie publică X.509 (PKI) de încredere publică și, de preferință, DNSSEC, de asemenea, pentru a autentifica că un sistem la care se face o conexiune este într-adevăr ceea ce pretinde că fi.

Cum funcționează TLS?

TLS utilizează o combinație de criptografie simetrică și asimetrică, deoarece aceasta oferă un compromis bun între performanță și securitate atunci când transmiteți datele în siguranță.

Cu criptografia simetrică, datele sunt criptate și decriptate cu o cheie secretă cunoscută atât de expeditor, cât și de destinatar; de obicei 128, dar preferabil 256 de biți în lungime (ceva mai mic de 80 de biți este acum considerat nesigur). Criptografia simetrică este eficientă în ceea ce privește calculul, dar având o cheie secretă comună înseamnă că trebuie să fie partajată într-un mod sigur.

Criptografia asimetrică folosește perechi de chei - o cheie publică și o cheie privată. Cheia publică este legată matematic de cheia privată, dar având în vedere o lungime suficientă a cheii, este impracticabil din punct de vedere al calculului să derivăm cheia privată din cheia publică. Aceasta permite cheii publice a destinatarului să fie utilizate de către expeditor pentru a cripta datele pe care doresc să le trimită, dar aceste date pot fi decriptate numai cu cheia privată a destinatarului.

Avantajul criptografiei asimetrice este că procesul de partajare a cheilor de criptare nu trebuie să fie sigur, dar relația matematică dintre cheile publice și private înseamnă că sunt necesare dimensiuni de cheie mult mai mari. Lungimea minimă recomandată a cheii este de 1024 biți, cu 2048 biți preferați, dar aceasta este de până la o mie de ori mai intensă din punct de vedere computerizat decât tastele simetrice cu rezistență echivalentă (de exemplu, o cheie asimetrică de 2048 biți este aproximativ echivalentă cu o cheie simetrică de 112 biți) și face ca criptarea asimetrică să fie prea lentă pentru multe scopuri.